Акт классификации ИСПДн, как правило, является конфиденциальным документом, и должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.
Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.
Акт классификации составляется для каждой выявленной ИСПДн. На основании полученных данных каждой ИСПДн определяется необходимый уровень защищенности персональных данных. Это нужно для того, чтобы установить требования для обеспечения защиты информационной системы персональных данных. Определение уровня защищенности персональных данных проводится в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
В акте указывается:
В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:
Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).
Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.
Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:
Тип актуальных угроз для ИСПДн:
По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).
Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.
Большинство существующих ИСПДн – специальные. Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».
Классификация информационных системы персональных данных по структуре:
По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).
Классификация многопользовательских ИСПДн делятся на:
По месту нахождения ИСПДн делятся на.
Информационные системы персональных данных (ИСПДн) используют в своей работе многие предприятия и организации. Давайте разберемся, что это такое, и какие нюансы нужно учитывать тем, кто работает с ИСПДн.
Если говорить просто, информационная система ИСПДн используется для хранения и обработки персональных данных. В ее составе выделяют следующие составляющие:
При использовании рассматриваемых систем важно обеспечить защиту персональных данных от несанкционированного доступа, утери и прочих нештатных ситуаций. Это прописано даже на законодательном уровне. А для того, чтобы принять советующие меры по ограничению доступа к сведениями и по их защите, проводится аудит ИСПДн (подробнее можно узнать, например, у специалистов компании «Rentacloud»: http://rentacloud.su/services/zashchita-personalnykh-dannykh/audit/). По его результатам составляется акт, содержащий следующую информацию:
Аудит проводится в точном соответствии с совместным документом, подготовленным Министерством связи, ФСТЭК и ФСБ. Он весьма объемный и требует досконального изучения. В связи с этим аудит системы и составление рекомендаций, на которых будет основываться защита ИСПДн, необходимо доверять специалистам. Их услугами можно воспользоваться, например, обратившись в компанию «Rentacloud»: (http://rentacloud.su).
Информационные системы персональных данных (ПДн) подразделяются на 4 класса и 2 типа. Разделение на классы осуществляется на основе таких признаков, как категория обрабатываемых ПДн, и их объемы.
Разобраться с этим вам поможет таблица:
Пояснения к таблице.
К категории под номером 4 относятся обезличенные ПДн, по которым невозможно идентифицировать конкретного субъекта (пример – статистические данные). К Кат 3 отнесены ПДн, на основе которых возможна только идентификация человека (встречаются довольно редко). Категория 2 включает данные, на основе которых можно провести идентификацию человека, и получить о нем некоторые дополнительные сведения (пример – системы начисления заработной платы в организациях и на предприятиях). К первой категории отнесены данные, содержащие сведения о национальности, состоянии здоровья и другие социальные сведения, и информация иного характера (пример – базы данных учреждений здравоохранения).
Что касается классов, указанных в таблице, отнесение ИСПДН к ним осуществляется на основе возможного ущерба для субъектов при нарушении условий безопасности:
К первому типу отнесены системы, где функции защиты ИСПДн сводятся только к достижению нужных показателей ее конфиденциальности. Если же, помимо конфиденциальности, есть необходимость обеспечении еще хотя бы одного дополнительного показателя безопасности (аутентичность, доступность, целостность данных и пр.), речь идет о втором типе.
Стоит отметить, что большинство используемых сегодня систем отнесены ко второму типу.
Видно, что разработка ИСПДн, их классификация и обеспечение надежной, эффективной защиты – весьма сложные и многогранные процессы. И чтобы не допустить ошибок, целесообразно доверить это специалистам. Обратиться для этого можно, к примеру, в компанию «Rentacloud», занимающую на этом рынке одну из лидирующих позиций.
Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.
Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.
В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 о «Порядке проведения классификации информационной системы персональных данных», который можно скачать здесь, требуется проведение классификации включает в себя следующие этапы:
При проведении классификации информационной системы необходимо ответить на следующие вопросы:
Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):
Xнпд может принимать следующие значения:
Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:
ОСНОВНЫЕ:
ДОПОЛНИТЕЛЬНЫЕ:
Структура информационной системы подразделяется на:
При организации ИСПДн определяют следующие режимы обработки:
В ИСПДн система разграничения доступа подразумевается:
Информационные системы делятся на типовую
и специальную
.
К типовой информационной системе
относятся системы, которые требуют только конфиденциальность ПДн.
К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:
Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе: